T/SZUAVIA 002-2023 无人机功能危险分析指南

ICS49.020

CCSV04

T/SZUAVIA

团体标准

T/SZUAVIA002—2023

无人机功能危险分析指南

Guidetofunctionalhazardanalysis

2023-06-02发布2023-10-01实施

深圳市无人机行业协会发布

T/SZUAVIA002—2023

目次

前言...........................................................................II

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4无人机功能..........................................................................2

5产品工作环境与方式..................................................................3

产品工作环境....................................................................3

任务阶段/工作方式...............................................................3

6产品失效状态........................................................................4

产品的功能和失效状态............................................................4

失效状态影响等级及安全性目标....................................................5

7功能危险分析表......................................................................8

附录A（资料性）无人机功能危险分析表...........................................10

表1无人机功能清单....................................................................2

表2飞机级功能及其可能考虑的失效状态..................................................4

表3无人机失效状态影响等级............................................................6

表4风险矩阵表........................................................................8

表5功能危险分析表....................................................................8

表6功能危险分析表（示例）...........................................................10

I

T/SZUAVIA002—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由深圳市无人机行业协会提出并归口。

本文件起草单位：工业和信息化部电子第五研究所、深圳市无人机行业协会、广州中科云图智能科

技有限公司、广州天海翔航空科技有限公司、沈阳锐取科技有限公司、广西科技大学、深圳市优飞迪科

技有限公司、广州极飞科技股份有限公司、广东中科瑞泰智能科技有限公司、广州市华科尔科技股份有

限公司、深圳市科卫泰实业发展有限公司、广东汇天航空航天科技有限公司、武汉市安全技术防范行业

协会。

本文件主要起草人：蔡茗茜、杨金才、杨剑锋、李骞、王远航、孙立军、刘正坤、刘民生、李捷、

魏雅丹、吴其琦、焦万中、王达、陈世印、陈艳青、夏烨、李建生、刘文威、吴和龙、林森才、宋健伟、

陈虎、陈柏霖。

II

T/SZUAVIA002—2023

无人机功能危险分析指南

1范围

本文件提供了无人机功能、工作模式、环境与方式、失效状态、功能危险分析表的示例，为开展无

人机功能危险分析提供指导。本文件中所列出的某些功能、工作模式等并不一定适用于所有无人机类型，

特定无人机功能危险分析可根据本文件进行参考。

本文件适用于产品初步设计阶段。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GJB/Z99-97系统安全工程手册

GJB900A-2012装备安全性工作通用要求

RTCADO-344无人机系统的操作、功能要求及安全目标标准（OperationalAndFunctional

RequirementsAndSafetyObjectives(OFRSO)ForUnmannedAircraftSystems(UAS)Standards）

SAEARP4761民用航空系统和设备安全评估过程指南和方法（GuidelinesandMethodsfor

ConductingtheSafetyAssessmentProcessonCivilAirboneSystemsandEquipment）

3术语和定义

下列术语和定义适用于本文件。

功能危险分析functionalhazardanalysis

FHA

通过对系统/产品（包括软件）可能出现的功能故障状态的分析，从而识别并评价系统中潜在危险

的一种分析方法。

事故mishap,accident

造成人员伤亡、职业病、装备损坏、财产损失或环境破坏的一个或一系列意外事件。

危险hazard

可能导致事故的状态。

安全性safety

1

T/SZUAVIA002—2023

产品具有的不导致人员伤亡、职业病、装备损坏、财产损失或不危及人员健康和环境的能力。

危险严重性hazardseverity

某种危险可能引起的事故后果的严重程度。

航空交通管制airtrafficcontrol

ATC

相关权力部门提供的一项服务，用以提升空中交通的安全性、秩序度和便利度。

4无人机功能

无人机的主要功能包括通讯功能、飞行功能、控制功能、躲避危险功能和迫降功能等，如表1所示。

表1无人机功能清单

第一层功能第二层功能说明

无人机机组成员和其他无人机相关人员之间，通过声音或数据进行的与至

无人机机组与相关人员之

关重要的安全信息相关的通讯的能力。这类通讯不包括任务相关的操作通

间的内部通讯

讯这种对飞行安全无影响的通讯。

无人机机组与ATC之间的外接到指令时与ATC通讯的能力。这类通讯可以通过声音、数据链进行，或

部通讯者在塔台机场的视野不好情况下，可以通过灯光信号通讯。

无人机驾驶员与邻近交通

与无人机邻近区域的其他航空器间的通讯。这种通讯并非规定要求，但是

中的飞行员的外部语言通

在无ATC的情况下，是非常必要的，尤其在仪表飞行的情况下

通讯功能讯

由无人机部分到ATC的外部通过转发器、ADS-B（广播式自动相关监视）、数据链或其他ATC所需的装

非语言通讯置，实现无人机与ATC进行数据交换的能力

无人机部分与邻近交通的通过转发器、ADS-B（广播式自动相关监视）及航行灯向附近的航空器传

外部非语言通讯输非语言类数据

与航空交通附属服务（非航空交通控制服务）通讯的能力，用于提交飞行

与附属服务的外部通讯计划和接受飞行计划确认/修正、天气报告、NOTAM（飞行员通知）、TIS-

B（交通信息服务-广播）、导航信息等，以支持飞行操控

估计位置和姿态信息提供无人机的高度信息、姿态信息以及相对地面位置信息

确定路径确定无人机在空间的、时间的四维空间中的飞行轨迹

飞行功能

使无人机保持在精确的时间下，从而有效的安全的操作无人机，同时与

估算即时数据

ATC的时间一致，便于传输和接收信息

控制无人机的动力/速度、俯仰、滚转、偏航，以安全改变飞行的动态和

提供无人机飞行控制指令

静态状态

向无人机（机组或自动化）提供信息，控制飞行器确认正确的指令执行，

控制功能提供无人机飞行控制反馈

和初始飞行控制的状态，以及其他影响飞行器安全控制的信息。

提供无人机非飞行控制指

通过地面控制站部分和通讯链，由无人机机组向无人机部分传输信息。

令

2

T/SZUAVIA002—2023

第一层功能第二层功能说明

提供无人机非飞行控制反

通过机上通讯链，由无人机部分向无人机机组传输非控制信息。

馈

提供感知和躲避交通的能提供自主隔离功能（保证自身与其他飞行器的距离符合规定）；提供避免

力碰撞的能力

提供躲避结构、障碍和地与建筑、无线电塔及其他人工建筑或障碍，包括地表运动的交通工具，保

势的能力持安全距离的能力；与地面和轮廓（如地势）保持安全距离的能力

提供躲避大气或气象危险

与会对无人机造成危险的天气或大气保持安全距离

躲避危险功能的能力

提供躲避云的能力根据VFR（通用飞行规则）中关于躲避云的要求飞行的能力

提供躲避未经授权的领空

当某空域未允许无人机进入时，保持在外围的能力

的能力

提供躲避低于最低能见度

保持无人机飞行在相关规定中要求的能见度范围内

区域的能力

系统故障紧急降落的能力无人机遭遇系统故障，无法维持飞行，具备开伞降落等迫降功能

迫降功能无人机电池或燃料无法维持飞行至降落点，具备降落在飞行途中紧急降落

能量耗尽紧急降落的能力

点的能力

5产品工作环境与方式

产品工作环境

产品的工作环境包括：ATC环境和无ATC环境。

任务阶段/工作方式

产品飞行时，为了制定无人机操作和功能要求，将整个飞行过程分为七个飞行阶段，如下文所述。

但是在进行FHA时，根据安全性要求，在考虑功能危险时，一些阶段产品实现的功能是相同的，因此可

将这七个阶段简化合并为三个阶段，分别为地面、航站和航行。飞行计划阶段与产品功能无关，因而在

FHA中不考虑，将启动/地面活动/滑行阶段和着陆后阶段合并为地面阶段，将发射/起航阶段和下降/最

后进场/着陆阶段合并为航站阶段，将航行/巡航阶段和空中作业阶段合并为航行阶段。

5.2.1飞行计划阶段

包括与计划飞行航线、潜在意外事故定位、确定适合的控制和非有效载荷数据链覆盖等等。飞行计

划极端包括文件归档和实施飞行计划。

5.2.2启动/地面移动/滑行阶段

这一阶段始于航空器和地面控制站部分签出，发动机启动、起飞前通讯检查、地面移动，ATC许可

/指令等等。

5.2.3发射/起航阶段

这一阶段始于根据飞行需求提供动力。包括所有的通讯交换，爬升，直到到达初始航行平稳。

5.2.4航行/巡航阶段

3

T/SZUAVIA002—2023

包括所有不属于其他飞行阶段的巡航飞行，爬升和下降，直到进入空中作业或下降和到达阶段

5.2.5空中作业阶段

这一阶段包括除了运送飞机以外的任何飞行活动。例如监视、搜索和营救、重复飞行模式等。

5.2.6下降/最后进场/着陆阶段

始于从巡航高度下降或到达初始进场点。

5.2.7着陆后阶段

着陆后阶段包括起落架发出承重信号，或飞行到达终点之后的所有活动。包括地面移动、滑行、固

定无人机、发动机刹车、从无人机项地面控制站部分或地面保障部分，无人机刹车等。

6产品失效状态

产品的功能和失效状态

将产品的失效状态划分为两类，功能丧失和功能错误。功能丧失是指产品该项功能完全失效，且不

可恢复。功能错误是指某项功能的输入、程序逻辑或输出不正常。飞机级功能及其可能考虑的失效状态

如表2所示。

表2飞机级功能及其可能考虑的失效状态

飞机级功能失效状态

丧失无人机机组与相关人员之间的内部通讯功能

无人机机组与相关人员之间的内部通讯

无人机机组与相关人员之间的内部通讯功能错误

丧失无人机机组与ATC之间的外部通讯功能

无人机机组与ATC之间的外部通讯

无人机机组与ATC之间的外部通讯功能错误

丧失无人机驾驶员与邻近交通中的飞行员的外部语言通讯功能

无人机驾驶员与邻近交通中的飞行员的外部语言通讯

无人机驾驶员与邻近交通中的飞行员的外部语言通讯功能错误

丧失由无人机部分到ATC的外部非语言通讯功能

由无人机部分到ATC的外部非语言通讯

由无人机部分到ATC的外部非语言通讯功能错误

丧失无人机部分与邻近交通的外部非语言通讯功能

无人机部分与邻近交通的外部非语言通讯

无人机部分与邻近交通的外部非语言通讯功能错误

丧失与附属服务的外部通讯功能

与附属服务的外部通讯

与附属服务的外部通讯功能错误

丧失估计位置和方向信息功能

估计位置和方向信息

估计位置和方向信息功能错误

丧失确定路径功能

确定路径

确定路径功能错误

丧失估算即时数据功能

估算即时数据

估算即时数据功能错误

丧失提供无人机飞行控制指令功能

提供无人机飞行控制指令

提供无人机飞行控制指令功能错误

4

T/SZUAVIA002—2023

飞机级功能失效状态

丧失提供无人机飞行控制反馈功能

提供无人机飞行控制反馈

提供无人机飞行控制反馈功能错误

丧失提供无人机非飞行控制指令功能

提供无人机非飞行控制指令

提供无人机非飞行控制指令功能错误

丧失提供无人机非飞行控制反馈功能

提供无人机非飞行控制反馈

提供无人机非飞行控制反馈功能错误

丧失提供感知和躲避交通的能力功能

提供感知和躲避交通的能力

提供感知和躲避交通的能力功能错误

丧失躲避结构、障碍和地势的能力功能

提供躲避结构、障碍和地势的能力

躲避结构、障碍和地势的能力功能错误

丧失躲避大气或气象危险的能力

提供躲避大气或气象危险的能力

躲避大气或气象危险的能力错误

丧失躲避云的能力

提供躲避云的能力

躲避云的能力错误

丧失躲避未经授权的领空的能力

提供躲避未经授权的领空的能力

躲避未经授权的领空的能力错误

丧失躲避低于最低能见度区域的能力

提供躲避低于最低能见度区域的能力

躲避低于最低能见度区域的能力错误

丧失系统故障紧急降落的能力

系统故障紧急降落的能力

系统故障紧急降落的能力错误

丧失能量耗尽紧急降落的能力

能量耗尽紧急降落的能力

能量耗尽紧急降落的能力错误

失效状态影响等级及安全性目标

安全性是风险低于风险边界的状态。因此在判断无人机是否符合安全性，则要为其确定风险边界，

即为安全性目标。

通过分析危害的严重程度以及相应的严重程度的危害发生概率来衡量风险。

6.2.1失效状态影响对象

在判断失效状态的影响等级前，需要明确其影响的对象：

a)地面非相关人员

指与飞行操作无关的普通人。这一类的对象对于无人机操作、风险等相关知识都不了解。

b)无人机机组

与无人机操作相关的人员，作为飞行机组或发射与复原人员。无人机机组也可以包括任务负载的操

作者、任务负载的分析员或技术专家。

c)空域用户

搭乘商业、军事或私人航空器的机组人员或乘客。这一类对象对于有人机的操作飞行等具有较深的

认识，但是对于无人机不了解。

d)ATC服务人员

负责航空交通管制的人员或系统。

e)无人机系统

5

T/SZUAVIA002—2023

包含硬件和软件部分的整个无人机系统。包括无人机本体、地面控制站、通讯系统和相关设备。

6.2.2失效状态影响严重程度

失效状态根据其影响的严重程度可以划分为：

a)无安全影响：失效状态对安全性无影响，如失效状态对无人机使用能力和人员工作及安全无影

响。

b)轻微的：失效状态对安全性没有显著影响，相关人员的工作也在能力范围内。或者失效状态包

括在安全裕度或功能性能方面轻微降低，机组成员的工作负担轻微增加。

c)重大的：失效状态会降低无人机性能或相关人员处理无人机不利飞行状态的能力。

d)危险的：失效状态急剧降低无人机的性能，大幅度降低相关人员处理不利运行状态的能力。

e)灾难性的：妨碍无人机继续安全飞行和着陆，将会导致多人死亡，通常会使无人机坠毁。

“Ⅰ类”表示灾难性影响，“Ⅱ类”表示危险影响，“Ⅲ类”表示重大影响，“Ⅳ类”表示轻微影

响。

6.2.3失效状态影响等级

具体的无人机失效状态影响等级如表3所示：

表3无人机失效状态影响等级

对航空交通管制

对地面上的人的影响对无人机机组的影响对空域用户的影响对无人机系统的影响

（ATC）的影响

可以导致空域用户或无人机系统的失效状

可以导致ATC发出的

乘客经历如下伤害的态可以导致：

行动造成以下情况的

无人机失效状态：失控或不按预期线路

无人机失效状态：

可以导致地面上一人可以导致无人机机组死亡；飞行；

与航空器，障碍物或

灾难性的或多人死亡的无人机死亡或丧失行为能力或空中撞击；或不可控的地面撞

地形发生撞击；

失效状态的无人机失效状态或与障碍物或地形发击；

或飞行终止失控（如

生碰撞；或在除了可以恢复的

尾流颠簸，或静止不

或不能继续安全飞行点以外的任意位置发

动等等）

并着陆的航空器状态生地面撞击

可以导致空域用户或

乘客经历如下伤害的

无人机失效状态：可以导致ATC发出的会减弱无人机应对不

差点发生空中碰撞；行动造成以下情况的利的操作条件的能力

会导致无人机机组身

有人航空器采取紧急无人机失效状态：到以下程度的无人机

体痛苦或工作压力过

会导致地面上的一人程序；距离过近导致的A类系统失效状态：

大（如不能依靠飞行

危险的或多人重伤的无人机突然的躲避机动超过跑道入侵（RI）或操作安全裕度或功能能力

机组准确完整的完成

失效状态了有人航空器的使用失误（OE）；大幅度减弱；

他们的任务）的无人

阈值；飞行器间的距离减少计划外不可控的飞行

机失效状态

有人机上发生了重到标准距离的22.9%终止；

伤；以下强制无条件尽快着陆

身体危难或工作压力

过大，减弱了有人机

6

T/SZUAVIA002—2023

对航空交通管制

对地面上的人的影响对无人机机组的影响对空域用户的影响对无人机系统的影响

（ATC）的影响

机组人员的任务完成

能力

可以导致空域用户或

可以导致ATC发出的

乘客经历如下伤害的会减弱无人机应对不

行动造成以下情况的

无人机失效状态：利的操作条件的能力

无人机失效状态：

会导致无人机机组身重大的飞行员违规到以下程度的无人机

距离